業務安全問題
一些生產環境中可能出現的實際問題,我認爲這不只是滲透測試工程師需要針對的,也是一些開發人員需要意識到的
賬戶安全
盜號、撞庫等身份盜用問題
“撞庫”攻擊的形式
嘗試登錄大量【用戶名+密碼】組合
利用已泄露的多家網站用戶數據庫
“盜號”產生的風險
用戶隱私受影響
賬戶資金受影響
企業投訴和賠付率上升
對抗手段
驗證碼識別雲平臺
短信驗證碼雲平臺
訪問速率控制
秒換代理服務器IP
IP限制策略
用戶界面
PC登錄界面
WAP
APP
聯合登錄
防護策略
圖形驗證碼
短信驗證碼
資源濫用
刷單/惡意下單
供應商刷單賺取信用
競爭對手互相下單
報復性下單
控制庫存影響正常銷售
自動加購物車,自動下單
購物車過期後,重複上一步驟
正常用戶不能購買
企業商品無法售出
惡意調用短信發送接口
封裝多個網站短信發送接口爲一個API
向指定手機發送短信炸彈,強制對方關機
企業遭受客戶投訴導致短信通道被迫關停
註冊檢查薄弱被利用接口
利用簡單的註冊判斷接口,檢查全國手機號是否在網站註冊
放大這個請求,結果是災難……爲盲目“撞庫”提前篩選用戶名
惡意註冊產生“馬甲”用戶
搶佔正常用戶資源
影響企業營銷效果
產生虛假數據
隱藏的“炸彈”